1. 首頁
  2. 問答
  3. _grokparsefailure不帶過濾

_grokparsefailure不帶過濾

2014-12-19 36 views
0

我有一些簡單的logstash配置:_grokparsefailure不帶過濾

input { 
    syslog { 
     port => 5140 
     type => "fortigate" 
    } 
} 

output { 
    elasticsearch { 
     cluster => "logging" 
     node_name => "logstash-logging-03" 
     bind_host => "10.100.19.77" 
    } 
}

完蛋了。問題是,最終在elasticsearch中發現的文檔確實包含_grokparsefailure:

{ 
    "_index": "logstash-2014.12.19", 
    ... 
    "_source": { 
    "message": ...", 
    ... 
    "tags": [ 
     "_grokparsefailure" 
    ], 
    ... 
    }, 
    ... 
}

怎麼回事?沒有(grok)過濾器...

來源

2014-12-19 sontags

+0

你是如何調用Logstash的?如果你通過'-f'傳遞一個目錄,那個目錄是否包含任何其他文件? –

+0

我想我只是提出這個問題:系統日誌輸入已經在內部做了一些高爾基的東西。由於我想收到的日誌沒有syslog格式,我得到了這些標籤...我嘗試通過udp/tcp輸入並在此處發佈更新來實現它... – sontags

回答

0

好的:系統日誌輸入顯然在內部使用gork。因此,如果某些其他日誌格式不是「syslog」,則會發生「_grokparsefailure」輸入。相反,我只是使用「tcp」和「udp」輸入來實現所需的結果(我之前並不知道它們)。

乾杯

來源

2014-12-19 16:17:57 sontags

相關問題

 相關問題